Cybersecurity

Capcom terkena ransomware Ragnar Locker, 1TB diduga dicuri

November 6, 2020 by Winnie the Pooh

Dilaporkan oleh Bleeping Computer, pengembang game Jepang Capcom telah mengalami serangan ransomware di mana pelaku ancaman mengklaim telah mencuri 1TB data sensitif dari jaringan perusahaan mereka di AS, Jepang, dan Kanada.

Capcom terkenal dengan franchise game ikoniknya, termasuk Street Fighter, Resident Evil, Devil May Cry, Monster Hunter, dan Mega Man.

Kemarin, Capcom mengumumkan bahwa mereka telah terkena serangan siber pada tanggal 2 November 2020, yang menyebabkan penghentian sebagian jaringan perusahaan mereka untuk mencegah penyebaran serangan tersebut.

Sejak serangan itu, Capcom telah menampilkan pemberitahuan di situsnya yang memperingatkan pengunjung bahwa email dan permintaan dokumen tidak akan dijawab karena serangan tersebut memengaruhi sistem email.

Saat itu, Capcom tidak mengungkapkan detail serangan siber tersebut, tetapi dalam sampel ransomware yang ditemukan oleh peneliti keamanan Pancak3, Bleeping Computer melihat bahwa geng ransomware Ragnar Locker yang berada dibalik serangan itu.

Terlampir dalam catatan tebusan adalah tujuh print.sc URL yang menampilkan tangkapan layar dari file yang dicuri, termasuk perjanjian penghentian karyawan, paspor Jepang, laporan penjualan Steam dari Agustus, pernyataan Bank, perjanjian kontraktor, dan tangkapan layar Pengguna Active Directory dan MMC Komputer untuk Capcom Windows domain.

Pancak3 mengatakan kepada BleepingComputer bahwa Ragnar Locker mengklaim telah mengenkripsi 2.000 perangkat di jaringan Capcom dan menuntut $11.000.000 dalam bentuk bitcoin untuk sebuah decryptor. Tebusan ini juga termasuk janji untuk menghapus data yang dicuri dan laporan keamanan penetrasi jaringan.

Perlu dicatat bahwa layanan negosiasi ransomware Coveware telah melihat operasi ransomware semakin tidak menepati janji mereka untuk menghapus data yang dicuri setelah uang tebusan dibayarkan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Vendor minuman Italia Campari offline setelah serangan ransomware

November 6, 2020 by Winnie the Pooh

Seperti yang pertama kali dilaporkan oleh ZDNet, Campari merilis pernyataan pers pada hari Senin di mana mereka menyatakan bahwa mereka mengalami serangan siber selama akhir pekan, yang menyebabkan mereka menutup layanan dan jaringan TI mereka.

Serangan itu telah dikaitkan dengan geng ransomware RagnarLocker, menurut salinan catatan tebusan yang dibagikan dengan ZDNet oleh seorang peneliti malware bernama Pancak3.

Geng RagnarLocker sekarang mencoba memeras perusahaan agar membayar permintaan tebusan untuk mendekripsi file-nya.

Grup ransomware tersebut juga mengancam akan merilis file yang dicurinya dari jaringan Campari jika perusahaan tidak membayar permintaan tebusan dalam seminggu setelah gangguan awal.

Namun, perusahaan Italia tersebut tampaknya telah memilih untuk memulihkan sistem mereka daripada membayar permintaan tebusan, menurut siaran pers singkat yang diterbitkan pada hari Selasa.

Dalam siaran pers yang sama, Campari juga mengatakan pihaknya mendeteksi intrusi segera setelah terjadi dan segera pindah untuk mengisolasi sistem yang terkena dampak, dan bahwa insiden tersebut diperkirakan tidak akan berdampak signifikan pada hasil keuangannya.

Berita selengkapnya:
Source: ZDNet

Apple memperbaiki tiga zero-day iOS yang sedang aktif dieksploitasi

November 6, 2020 by Winnie the Pooh

Apple telah merilis pembaruan keamanan hari ini untuk iOS untuk menambal tiga kerentanan zero-day yang ditemukan sedang disalahgunakan dalam serangan terhadap penggunanya.

Menurut Shane Huntley, Direktur Grup Analisis Ancaman Google, tiga zero-day iOS memiliki kaitan dengan tiga zero-day Chrome [1, 2, 3] dan hari nol Windows yang sebelumnya telah diungkapkan Google selama dua minggu terakhir.

Meskipun tidak diketahui apakah zero-days telah digunakan terhadap target yang dipilih atau secara massal, pengguna iOS disarankan untuk memperbarui ke iOS 14.2, hanya untuk berjaga-jaga.

Bug keamanan yang sama juga telah diperbaiki di iPadOS 14.2 dan watchOS 5.3.8, 6.2.9, dan 7.1, dan juga untuk iPhone generasi lama melalui iOS 12.4.9, juga dirilis hari ini.

Menurut ketua tim Google Project Zero Ben Hawkes, yang timnya telah menemukan dan melaporkan serangan tersebut ke Apple, tiga zero-day iOS tersebut adalah:

CVE-2020-27930 – masalah eksekusi kode jarak jauh di komponen iOS FontParser yang memungkinkan penyerang menjalankan kode dari jarak jauh pada perangkat iOS.
CVE-2020-27932 – kerentanan eskalasi hak istimewa di kernel iOS yang memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa tingkat kernel.
CVE-2020-27950 – kebocoran memori di kernel iOS yang memungkinkan penyerang untuk mengambil konten dari memori kernel perangkat iOS.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cisco mengungkapkan zero-day VPN AnyConnect

November 5, 2020 by Winnie the Pooh

Cisco telah mengungkapkan kerentanan zero-day dalam perangkat lunak Cisco AnyConnect Secure Mobility Client dengan kode eksploitasi proof-of-concept yang tersedia untuk umum.

Meskipun pembaruan keamanan belum tersedia untuk kerentanan eksekusi kode arbitrary ini, Cisco sedang berupaya mengatasi zero-day, dengan perbaikan yang akan datang di rilis klien AnyConnect mendatang.

Namun, kelemahan keamanan Cisco AnyConnect Secure Mobility Client belum dieksploitasi di dunia nyata menurut Cisco Product Security Incident Response Team (PSIRT).

Kerentanan dengan tingkat keparahan tinggi yang dilacak sebagai CVE-2020-3556 ada di saluran komunikasi antarproses (IPC) dari Cisco AnyConnect Client dan dapat memungkinkan penyerang lokal dan terotentikasi untuk mengeksekusi skrip berbahaya melalui pengguna yang ditargetkan.

Ini memengaruhi semua versi klien AnyConnect untuk Windows, Linux, dan macOS dengan konfigurasi yang rentan – klien iOS dan Android seluler tidak terpengaruh oleh kerentanan ini.

Meskipun tidak ada solusi yang tersedia untuk mengatasi CVE-2020-3556, ini dapat dikurangi dengan menonaktifkan fitur Pembaruan Otomatis.

Permukaan serangan juga dapat dikurangi secara drastis dengan mematikan pengaturan konfigurasi Enable Scripting pada perangkat yang mengaktifkannya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Maze, sebuah grup ransomware terkenal, mengatakan mengakhiri bisnis mereka

November 5, 2020 by Winnie the Pooh

Salah satu grup ransomware pencuri data yang paling aktif dan terkenal jahat, Maze, mengatakan “secara resmi ditutup”.

Pengumuman itu datang sebagai pernyataan yang membingungkan, penuh dengan kesalahan ejaan dan diterbitkan di situs webnya di dark web, yang selama setahun terakhir telah menerbitkan banyak dokumen dan file internal curian dari perusahaan yang ditargetkan, termasuk Cognizant, firma asuransi keamanan siber Chubb, raksasa farmasi ExecuPharm, pemasok suku cadang Tesla dan SpaceX Visser dan kontraktor pertahanan Kimchuk.

Maze awalnya menggunakan alat eksploitasi dan spam untuk menginfeksi korbannya, tetapi kemudian mulai menggunakan kerentanan keamanan yang diketahui untuk secara khusus menargetkan perusahaan besar. Maze dikenal menggunakan server jaringan pribadi virtual (VPN) dan desktop jarak jauh (RDP) yang rentan untuk meluncurkan serangan bertarget terhadap jaringan korbannya.

“Mungkin saja kelompok itu merasa telah menghasilkan cukup uang untuk menutup layanan dan berlayar menuju matahari terbenam. Namun, mungkin juga – dan juga lebih mungkin – bahwa mereka telah memutuskan untuk mengubah brand”, kata Brett Callow, pakar ransomware dan analis ancaman di perusahaan keamanan Emsisoft.

Callow mengatakan pembubaran kelompok tersebut menyisakan pertanyaan terbuka tentang hubungan dan keterlibatan kelompok Maze dengan kelompok lain. “Karena Maze adalah operasi afiliasi, mitra mereka dalam kejahatan kemungkinan tidak akan pensiun dan sebaliknya hanya akan menyesuaikan diri dengan grup lain,” katanya.

Maze menyangkal bahwa mereka adalah “kartel” kelompok ransomware dalam pernyataannya, tetapi para ahli tidak setuju. Steve Ragan, seorang peneliti keamanan di Akamai, mengatakan Maze diketahui memposting di situs webnya data dari ransomware lain, seperti Ragnar Locker dan ransomware-for-rent LockBit.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Crunch

Geng REvil ransomware ‘memperoleh’ malware KPOT

November 4, 2020 by Winnie the Pooh

Operator ransomware REvil telah “memperoleh” source code trojan KPOT dalam lelang yang diadakan di forum peretas bulan lalu.

Penjualan tersebut terjadi setelah pembuat malware KPOT memutuskan untuk melelang kode tersebut karena ingin pindah ke proyek lain.

Penjualan itu diselenggarakan sebagai lelang publik di forum peretasan bawah tanah pribadi untuk penjahat siber berbahasa Rusia, peneliti keamanan Pancak3 mengatakan kepada ZDNet dalam sebuah wawancara bulan lalu.

Satu-satunya penawar adalah UNKN, anggota terkenal dari geng ransomware REvil (Sodinokibi), kata Pancak3.

UNKN membayar harga permintaan awal $6.500, sementara anggota forum lainnya menolak untuk berpartisipasi, dengan alasan harga permintaan yang tinggi.

Pertama kali ditemukan pada tahun 2018, KPOT adalah “pencuri informasi” yang dapat mengekstrak dan mencuri sandi dari berbagai aplikasi di komputer yang terinfeksi. Ini termasuk web browser, pengirim pesan instan, klien email, VPN, layanan RDP, aplikasi FTP, dompet cryptocurrency, dan gaming software, menurut laporan Proofpoint 2019.

Berita selengkapnya:
Source: ZDNet

Setelah dua zero-day di Chrome versi desktop, Google kini menambal zero-day ketiga di versi Android

November 4, 2020 by Winnie the Pooh

Google telah merilis pembaruan keamanan untuk browser Chrome versi Android guna memperbaiki kerentanan zero-day yang saat ini dieksploitasi di alam liar.

Chrome untuk Android versi 86.0.4240.185 dirilis dengan perbaikan untuk CVE-2020-16010, kerentanan heap buffer overflow di komponen antarmuka pengguna (UI) Chrome untuk Android.

Google mengatakan bug itu dieksploitasi untuk memungkinkan penyerang melewati dan melarikan diri dari sandbox keamanan Chrome di perangkat Android dan menjalankan kode pada OS yang mendasarinya.

Detail tentang serangan tersebut tidak dipublikasikan untuk memberi pengguna Chrome lebih banyak waktu untuk memasang pembaruan dan mencegah pelaku ancaman lainnya mengembangkan eksploitasi untuk zero-day yang sama.

Ini menandai zero-day Chrome ketiga yang ditemukan oleh tim TAG (Threat Analysis Group) Google dalam dua minggu terakhir.

Dua zero-day pertama hanya memengaruhi Chrome untuk versi desktop. Yang pertama ditambal pada 20 Oktober, dilacak sebagai CVE-2020-15999, dan memengaruhi library rendering font FreeType Chrome.

Selain itu, Google juga menambal zero-day kedua kemarin. Dilacak sebagai CVE-2020-16009, zero-day ini dideskripsikan sebagai eksekusi kode jarak jauh di mesin JavaScript Chrome V8.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Keamanan siber: Satu dari tiga serangan ada hubungannya dengan virus corona

November 4, 2020 by Winnie the Pooh

Pusat Keamanan Siber Nasional (NCSC) Inggris ‘meningkatkan dukungan’ bagi Layanan Kesehatan Nasional untuk membantu melindungi rumah sakit Inggris dan organisasi perawatan kesehatan lainnya dari serangan siber.

Review Tahunan NCSC 2020 mengungkapkan bahwa cyber arm GCHQ telah menangani lebih dari 200 insiden siber terkait dengan virus korona selama tahun ini – hampir sepertiga dari jumlah total insiden yang diminta untuk dibantu selama periode itu.

Dan karena urgensi pengamanan perawatan kesehatan selama pandemi virus corona, NCSC telah membantu NHS untuk mengamankan dirinya dari serangan siber.

Lebih dari 160 kasus kerentanan berisiko tinggi telah dibagikan dengan NHS Trusts selama tahun ini, sementara NCSC juga harus menangani lebih dari 200 insiden terkait dengan respons virus corona Inggris – termasuk spionase siber Rusia yang menargetkan pengembangan vaksin virus corona.

200 insiden terkait virus corona merupakan bagian yang signifikan dari jumlah total 723 serangan siber yang melibatkan hampir 1.200 korban yang telah dibantu oleh NCSC selama setahun terakhir, naik dari 658 pada tahun sebelumnya – dan yang tertinggi jumlah insiden sejak NCSC didirikan.

Tinjauan tersebut juga mencatat bahwa NCSC telah menangani serangan ransomware tiga kali lebih banyak daripada yang dilakukannya tahun lalu karena serangan menjadi lebih bertarget dan lebih agresif.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings